こんにちは。

 

今日は仕事でWindowsUpdateの日なので、少し遅めから始業しています。

少し手が空いたので、この前のマイクロソフトの大規模障害についての原因と自分なりの考察について記事にします。

 

まず、事象の概要は以下です。

 

 

 

記事抜粋(2024年7月20日時点)

 

日本時間の19日、世界各地でセキュリティーソフトが原因とみられるコンピューターのシステム障害が起きました。マイクロソフトは、影響を受けたサービスは回復したと発表し、旅客機の運航や医療、放送など幅広い分野に広がった影響は、今も一部で続いているものの収束に向かっています。

 

 

原因

 

EDRの設定にバグがあった。

 

EDRとは？

EDRはEndpoint Detection and Responseの頭文字を取った、エンドポイントセキュリティを担う仕組みの1つです。エンドポイントとはPCやスマートフォン、サーバーなどのデバイスを指します。これらのデバイスの状況を監視し、不審な振る舞いの検知や対処をするためのソリューション。

 

つまり、外部からの侵入などがあり、端末上で不審なファイル作成とか操作があった場合に、その振舞いを検知して、自動的にその侵入を排除するような機能のこと。

Windowsにも搭載されている。

 

 

 

 

詳細

 

今回Windowsで使用されていたEDRは、セキュリティの大手であるクラウドストライクという会社の製品である「Falcon」というものだった。

 

クラウドストライクが、このEDRの設定ファイルの更新プログラムを全世界に一斉配信したところ、プログラムにバグがあったため、EDRが誤検知して、ブルースクリーンエラーが起きた。

 

 

具体的なバグの内容

 

EDR内の「Rapid Response Content」と呼ばれるサイバー攻撃者などの行動を監視する機能の設定ファイル更新に不備があった。

 

事前テストではバグを発見できなかったらしい。

 

リリースしたところ、メモリの境界外読み取りが発生し、ブルースクリーンを誘発した。

メモリの境界外読み取りをEDRが外部からの攻撃があったと判断したことが原因。

 

メモリの境界外読み取りとは、メモリ上の許可された範囲を超えて情報を読み出せる状態のこと。

例えば、領域のサイズが128バイトしかないのに、129バイト目以上や、負のインデックスを指示して値を読み出せると、情報漏えいの原因になる。

 

この境界外読み取りの発生が、外部からの侵入によるものとEDRに検知された。

 

テストに使用したソフトに不具合があり、バグを検知できなかったとのこと。

 

(日経コンピュータから参照)

 

 

考察

 

どうしようもなかったのではないか。。

できることといえば、検証用ソフトの定期的な点検とか、検証ソフトを複数使うとか、リリースを段階的なものにするとか。。

 

テストするツールに不具合があるとは思わないから、怖い。

 

マイクロソフトのEDR担当の作業はかなり増えたと思われる。

 

法律との関連としては、損害賠償などだけど、デルタ空港がマイクロソフトとクラウドストライクに賠償の請求をするみたい。

 

 

 

なお、被害額は2兆円ほどだそう。

 

 

 

 

俺の仕事場でもたまに障害起きるけど、規模が違うよね。